NginRAT

ينشر مجرمو الإنترنت تهديدًا جديدًا لحصان طروادة (RAT) للوصول عن بُعد يسمى NginRAT في الهجمات ضد خوادم التجارة الإلكترونية. الهدف من العملية التهديدية هو جمع معلومات بطاقة الدفع من المتاجر المخترقة عبر الإنترنت. حتى الآن ، تم التعرف على ضحايا NginRAT في أمريكا الشمالية وألمانيا وفرنسا.

تجعل تقنيات المراوغة التي يستخدمها NginRAT من الصعب للغاية اكتشاف الحلول الأمنية. يخطف التهديد تطبيق Nginx الخاص بالمضيف عن طريق تعديل الوظائف الأساسية لنظام Linux المضيف. وبشكل أكثر تحديدا، كلما خادم إنجن إكس ويب شرعية تنفيذ وظائف، مثل dlopen، وقراءتها NginRAT ذلك ويقحم نفسه. نتيجة لذلك ، يصبح RAT غير قابل للتمييز عن عملية مشروعة.

وفقًا لشركة الأمن التي حللت تهديد NginRAT ، هناك طريقة لإظهار العمليات المخترقة. يستخدم التهديد LD_L1BRARY_PATH (مع خطأ إملائي) لذا يوصي الباحثون بتشغيل الأمر التالي:

$ sudo grep -al LD_L1BRARY_PATH / proc / * / environ | grep -v self /

/ proc / 17199 / environ

/ proc / 25074 / e nviron

اكتشفوا أيضًا أن NginRAT تم تسليمه إلى الخوادم المستهدفة بواسطة برنامج ضار آخر من نوع RAT يُدعى CronRAT . يؤدي التهديدان نفس الدور - توفير وصول خلفي إلى الجهاز المصاب ، لكنهما يعتمدان على طرق مختلفة. على سبيل المثال ، يخفي CronRAT رمزه التالف في مهام مجدولة صالحة لن يتم تنفيذها أبدًا لأنه تم تعيينها للتشغيل في تواريخ غير موجودة مثل 31 فبراير.

نظرًا لأنه تم ملاحظة وجود كلا التهديدين في نفس الوقت ، إذا تم العثور على NginRAT على خادم ، يجب على المسؤولين أيضًا التحقق من مهام cron بحثًا عن علامات على رمز تالف قد يكون مخفيًا هناك بواسطة CronRAT.